SQL Injection/XSS Cheat Sheet

作者: jon

最近很流行 Cheat Sheet, 把一些常用該知道的東西整理好的小抄(或許也可以說是懶人包?), 印出來立在桌邊, 不過印超過兩張就發現桌子沒地方放, 好像也蠻頭大的.. XD

今天正巧看到一篇不同於其它 Cheat Sheet 的文章: SQL Injection Cheat Sheet,這篇文章把常用的 SQL Injection的方法都列出來, 來看 SQL Injection 的危險程度(針對 MySQL, SQL Server, PostgreSQL, Oracle… 等).

不曉得 SQL Injection 是什麼, 可以看 M$ 的解說:SQL Injection (資料隱碼) – 駭客的 SQL填空遊戲及應用… XD

順手整理 Cheat Sheet:

既然都有了 SQL Injection, 那當然也得要有 XSS, 先看一些做法及說明:

PHP 少用 PHP_SELF, 或最好別用 PHP_SELF, 可看下述討論:

不過要防範也不是那麼困難, 總之, 沒有處理過的字串, 要轉成 HTML 輸出前, 要先經過 htmlentities/htmlspecialchars 處理就可以了.

總結: XSS 就是只要能在你頁面 Alert JS, 就能幹很多壞事(之前有寫一些 Demo Code,改天找到再放出來), 再來一樣是 Cheat Sheet 如下(壞人就是這樣子玩你的站的)…

PS: 網路上很多壞人呀~~ 很危險的~… XD

相关日志

发表评论